banner
/
/
/
今日施行!重要网络和信息系统每年至少开展一次密评!

资讯详情

今日施行!重要网络和信息系统每年至少开展一次密评!

  • 分类:行业新闻
  • 作者:商密君
  • 来源:等级保护测评
  • 发布时间:2023-11-01 12:36
  • 访问量:

【概要描述】关于网络安全等级保护制度,《中华人民共和国网络安全法》(自2017年6月1日起施行,点击查看全文)第二十一条规定,国家实行网络安全等级保护制度;网络运营者应当按照网络安全等级保护制度的要求,履行采取数据分类、重要数据备份和加密等安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

今日施行!重要网络和信息系统每年至少开展一次密评!

【概要描述】关于网络安全等级保护制度,《中华人民共和国网络安全法》(自2017年6月1日起施行,点击查看全文)第二十一条规定,国家实行网络安全等级保护制度;网络运营者应当按照网络安全等级保护制度的要求,履行采取数据分类、重要数据备份和加密等安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

  • 分类:行业新闻
  • 作者:商密君
  • 来源:等级保护测评
  • 发布时间:2023-11-01 12:36
  • 访问量:
详情

为贯彻落实《中华人民共和国密码法》、新修订的《商用密码管理条例》等规定,2023年9月26日,国家密码管理局公布《商用密码应用安全性评估管理办法》(国家密码管理局令第3号,以下简称《密评管理办法》,点击查看全文),统筹细化商用密码应用安全性评估(以下简称密评)对象范围、责任主体、工作原则、程序内容、实施规范等规定,依法规范密评工作,自2023年11月1日起施行。

《密评管理办法》第六条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统(以下简称重要网络与信息系统),其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,并定期开展商用密码应用安全性评估;第九条规定,重要网络与信息系统建成运行后,其运营者应当自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估,确保商用密码保障系统正确有效运行。

值得注意的是,该办法只规定怎么做密评,哪些网络系统应该密评由其他法律、法规和国家有关规定确定。

不少朋友有疑问,“重要网络与信息系统”到底指的是哪些呢?依据目前的法律、行政法规和国家有关规定,密博士帮您梳理。

“重要网络与信息系统”主要包括关键信息基础设施、政务信息化系统、网络安全等级保护制度明确要求使用商用密码保护的网络与信息系统等。

一、关键信息基础设施

《中华人民共和国密码法》(以下简称《密码法》,点击查看全文)、新修订的《商用密码管理条例》(以下简称《条例》,点击查看全文)均明确规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码并开展密评。

——《密码法》(自2020年1月1日起施行)第二十七条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。

——《条例》(自2023年7月1日起施行)第三十八条规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。前款所列关键信息基础设施通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估。

根据《关键信息基础设施安全保护条例》(自2021年9月1日起施行,点击查看全文)规定,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

二、政务信息化系统

《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》(国办发〔2019〕57号,以下简称《办法》,自2020年2月1日起施行,点击查看全文)规定,对国家政务信息系统的规划、审批、建设、共享和监管提出多项密码应用要求,其中明确政务信息化项目建设单位,应同步规划、同步建设、同步运行密码保障系统并定期开展密码应用安全性评估,确保政务信息系统运行安全和政务信息资源共享交换的数据安全。

《办法》适用的国家政务信息系统主要包括国务院有关部门和单位负责实施的国家统一电子政务网络平台、国家重点业务信息系统、国家信息资源库、国家信息安全基础设施、国家电子政务基础设施(数据中心、机房等)、国家电子政务标准化体系以及相关支撑体系等符合《政务信息系统定义和范围》规定的系统;国务院有关部门可以根据本办法的规定及职责分工,制定本部门的具体管理办法;各省、自治区、直辖市人民政府可以参照本办法制定本地区的管理办法。

例如,江西等陆续发布了相应的管理办法。

《江西省人民政府办公厅关于印发江西省数字化项目建设管理办法的通知》(赣府厅发〔2023〕12号,以下简称《江西管理办法》,点击查看全文)于2023年9月26日发布并施行,之前的《江西省人民政府办公厅关于印发江西省政务信息化项目建设管理办法的通知》(赣府厅字〔2020〕68号)同时废止。

《江西管理办法》涉及密码应用十项要求(点击查看十项要求),其中包括项目单位按照国家密码管理有关法律法规和标准规范要求,同步规划、同步建设、同步运行密码保障系统并定期进行密码应用安全性评估。

《江西管理办法》适用于全省各级行政机关以及法律法规授权的具有管理公共事务职能的组织等使用财政性资金建设、运维的数字化项目,主要包括电子政务网络平台、重点业务数字化系统、数据资源库、信息安全基础设施、电子政务基础设施(政务云、数据中心等)、数字政府标准化体系以及相关支撑体系等符合《政务信息系统定义和范围》(GB/T 40692-2021)规定的项目;各设区市参照省级做法负责本市(含县区、开发区)数字化项目管理;各级党的机关、人大机关、政协机关、监察机关、审判机关、检察机关、群团使用财政性资金的数字化项目参照本办法执行;使用财政性资金的其他建设项目中包含数字化项目的,参照本办法执行。

三、网络安全等级保护制度明确要求使用商用密码保护的网络与信息系统

新修订的《商用密码管理条例》(自2023年7月1日起施行)第四十一条规定,网络运营者应当按照国家网络安全等级保护制度要求,使用商用密码保护网络安全;国家密码管理部门根据网络的安全保护等级,确定商用密码的使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。

关于网络安全等级保护制度,《中华人民共和国网络安全法》(自2017年6月1日起施行,点击查看全文)第二十一条规定,国家实行网络安全等级保护制度;网络运营者应当按照网络安全等级保护制度的要求,履行采取数据分类、重要数据备份和加密等安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

同时,2018年6月27日,公安部发布《网络安全等级保护条例(征求意见稿)》(以下简称《保护条例》,截至目前暂未发布正式稿)。作为《中华人民共和国网络安全法》的重要配套法规,《保护条例》设置单独一章“第五章密码管理”,其中

——第四十五条规定“确定密码要求”:国家密码管理部门根据网络的安全保护等级、涉密网络的密级和保护等级,确定密码的配备、使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范;

——第四十七条规定“非涉密网络密码保护”:非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务;第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务;第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估;网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估;密码应用安全性评估结果应当报受理备案的公安机关和所在地设区市的密码管理部门备案。

另外,2020年7月22日,《公安部关于印送<贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见>的函》(公网安〔2020〕1960号,点击查看全文)发布,其中第二章“深入贯彻实施国家网络安全等级保护制度”第六条中要求落实密码安全防护要求:网络运营者应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范;第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务;第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。

关键词:

相关新闻

今日施行!重要网络和信息系统每年至少开展一次密评!
关于网络安全等级保护制度,《中华人民共和国网络安全法》(自2017年6月1日起施行,点击查看全文)第二十一条规定,国家实行网络安全等级保护制度;网络运营者应当按照网络安全等级保护制度的要求,履行采取数据分类、重要数据备份和加密等安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
查看详情 白箭头 黑箭头
罚款8万!某科技公司因数据泄漏被依法处罚
数据安全关乎人民群众切身利益,关乎国家安全和社会稳定。开展数据处理活动的企业应当依照法律、法规的规定,完善相关管理制度,采取相应的技术措施和其他必要措施,保障数据安全。
查看详情 白箭头 黑箭头
2023数字创新大会 | 统信软件深度参编《桌面云技术与产业白皮书(2023)》
统信软件深度参与《白皮书》内容的调研、编写流程,统信UOS系列产品方案也被选入,为千行百业提供近年来统信UOS在桌面云领域的创新产品以及解决方案,畅想未来办公新范式。
查看详情 白箭头 黑箭头
南昌某高校被当地网信办罚款5万元
南昌市网信办将依法加大网络安全、数据安全、个人信息保护等领域执法力度,依法打击危害网络安全、数据安全、侵害公民个人信息等违法行为,切实维护网络安全、数据安全和社会公共利益,进一步营造安全稳定的网络环境。
查看详情 白箭头 黑箭头
《商用密码应用安全性评估管理办法》解读
根据《中华人民共和国密码法》(以下简称《密码法》)、《商用密码管理条例》(以下简称《条例》)等法律法规,国家密码管理局研究制定了《商用密码应用安全性评估管理办法》(国家密码管理局令第3号)(以下简称《办法》)
查看详情 白箭头 黑箭头
持续保护 :如何落地等保2.0
随着等保2.0相关标准的发布,政府、军工、企业、医院等机构都意识到安全在如今的环境下已经越发重要。等保从1.0走到2.0,不仅仅是大家表面看到的、要求的,改变与技术的提升,更是需要组织和机构从整个安全架构出发去考虑如何做好安全。
查看详情 白箭头 黑箭头
上一页
1
2
银讯logo

专注于企事业单位和政府机关的互联网的网络安全、应用安全、舆论监测提供咨询、评估、规划、开发、集成、实施、维保、培训等一系列完整解决方案

地       址:广州市黄埔区光谱西路3号办公楼303室

客服热线:400-893-0008

客服邮箱:3106327034@qq.com

COPYRIGHT@ 2023广州银讯信息科技有限公司 ALL RIGHTS RESERVED.  SEO标签  营业执照   粤ICP备19073454号  网站建设:  中企动力 广州